Die Nutzung und Verarbeitung von Sozial-/Gesundheitsdaten durch die GKV zum Schutz einer „Risikogruppe“
http://doi.org/10.24945/MVF.03.20.1866-0533.2020
>> Die Covid-19-Pandemie hat die Welt weiterhin fest im Griff. In allen Bereichen werden umfangreiche Maßnahmen getroffen, um dem Virus Herr zu werden. Auch im Gesundheitswesen gibt es tiefgreifende Veränderungen. Im Bereich der sozialen Leistungsträger wird fieberhaft überlegt, welche Maßnahmen noch ergriffen werden können, um die Bevölkerung bestmöglich vor den Folgen der Pandemie zu schützen. Im Bereich der Krankenkassen beispielsweise ist insbesondere die Überlegung in den Fokus gerückt, die Sozialdaten von den Versicherten zu verwenden, um diese in spezifische Gruppen einzuteilen. Personen, die in Bezug auf die Corona-Pandemie in die sog. „Risikogruppe“ fallen, sollen über die potenziell erhöhte Gefahrenlage aktiv informiert werden.
Im Folgenden wird erörtert, ob ein solch tiefer Eingriff in den Datenschutz durch die derzeitige Krisensituation gerechtfertigt werden kann.
I. Allgemeines
In der Regel ist der Kontakt mit Leistungsträgern mit der Preisgabe von persönlichen Daten verbunden. Auch die Krankenkassen verlangen und benötigen von ihren Mitgliedern sensible persönliche Daten, z.B. Diagnoseangaben, Einkommensnachweise und Informationen zur Arbeitsunfähigkeit, um ihre Aufgaben erfüllen zu können.
Das Interesse des Einzelnen an dem Schutz hochsensibler persönlicher Daten steht im Widerspruch zu der Notwendigkeit der Erhebung bestimmter Daten durch die Leistungsträger.
Aufgrund des allgemeinen Persönlichkeitsrechts gemäß Art. 2 I iVm. Art. 1 I GG steht grundsätzlich jedem das Recht zu, über die Preisgabe und die Verwendung persönlicher Daten selbst entscheiden zu können. Zu beachten ist, dass der potenziell Anspruchsberechtigte ggf. auf die Leistung angewiesen ist. Es besteht insofern die Gefahr, dass der Leistungsempfänger gerade nicht frei entscheiden kann, welche Daten er in welchem Umfang preisgeben möchte. Zur Gewährung von Sozialleistungen bedarf es der Weitergabe sensibler persönlicher Daten in einem gewissen Umfang. Durch die Einführung des Sozialdatenschutzes soll einerseits das Interesse des Bürgers an der Geheimhaltung sensibler Daten und andererseits das staatliche Interesse an einem funktionalen Sozialsystem in Einklang gebracht werden.
Die Mehrheit der Bevölkerung hat in den vergangenen Jahren mehr Aufmerksamkeit auf die Sicherheit persönlicher Daten gelegt. Auf europäischer Ebene wurde dem durch den Erlass der DatenschutzGrundverordnung (DSGVO) entsprochen, die seit dem 25. Mai 2018 Anwendung findet. Der Gesetzgeber auf Bundesebene hat das Bundesdatenschutzgesetz (BDSG) ebenfalls an die europarechtlichen Vorgaben angepasst.
Sowohl die DSGVO als auch die Sozialgesetzbücher beinhalten grundsätzlich Regelungen zur Verarbeitung personenbezogener Daten durch Dritte. Es muss jedoch eine strenge Unterscheidung erfolgen, welche Daten auf welche Art und Weise verarbeitet werden.
II. Eröffnung des Anwendungsbereichs
In den Anwendungsbereich der DSGVO fallen auch die Sozialdaten im Sinne des § 67 Abs. 2 SGB X. Der Begriff ist in selbiger Norm legaldefiniert. Unter diesen Begriff sind alle personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf deren Aufgaben nach diesem Gesetz verarbeitet werden, zu fassen. Beispielhaft sind der Name, das Geburtsdatum, Krankheiten und die Einkommensverhältnisse zu nennen. Werden derartige Daten von privaten Leistungserbringern erhoben, fallen diese nicht unter den Begriff der „Sozialdaten“. Dies ist auch dann der Fall, wenn es sich um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO handelt. Die Daten werden erst dann zu Sozialdaten, wenn sie mit Leistungserbringern im Sinne des § 35 I SGB V in Kontakt treten. Auf die Datenverarbeitung der privaten Leistungserbringer, zu denen auch die privaten Krankenkassen zählen, finden neben der DSGVO die Normen des BDSG bzw. die Landesdatenschutzgesetze ergänzende Anwendung.
III. Verwendung von Sozialdaten im Bereich der gesetzlichen Krankenversicherung
Im Falle der Verarbeitung von Daten eines Versicherten durch die gesetzliche Krankenkasse werden diese Angaben zu Sozialdaten und sind damit besonders geschützt. Sie unterliegen nun dem Sozialgeheimnis im Sinne des § 35 Abs. 1 Satz 1 SGB I. Aus diesem Grund ist die Krankenkasse verpflichtet, sehr sorgsam mit diesen Daten umzugehen. Das Sozialgeheimnis ist ein besonderes Amtsgeheimnis, welches gleichrangig mit der ärztlichen Schweigepflicht, dem Steuergeheimnis und dem Statistikgeheimnis ist. Danach hat jeder, dessen Daten von Sozialleistungsträgern im Zusammenhang mit einem Versicherungsverhältnis bekannt geworden sind, einen Anspruch darauf, dass die entsprechenden Sozialdaten von den Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden. Die Zulässigkeit der Verarbeitung von Sozialdaten ist komplex. Diese richtet sich nach den Normen der DSGVO und der entsprechenden Sozialgesetzbücher. Die Datenschutz-Grundverordnung erlaubt den Mitgliedstaaten gemäß Art. 6 Abs. 2, Abs. 3 Satz 3 DSGVO „spezifischere Bestimmungen zur Anpassung der Vorschriften der DSGVO“ selbst zu treffen.
Die Zulässigkeit der Verarbeitung von Sozialdaten richtet sich dementsprechend nach Art. 6 Abs. 1 lit e DSGVO i.V.m § 67a SGB X. Für die Verarbeitung von Sozialdaten durch die gesetzlichen Krankenkassen enthalten die §§ 284 ff. SGB V jedoch Sonderregelungen, die vorrangig anzuwenden sind. Ob die Normen des BDSG ebenfalls Anwendung finden, ist strittig.
Von dem Schutz des Sozialgeheimnisses sind die Daten bereits dann umfasst, wenn sie erhoben und erstmalig gespeichert werden. Der Gesetzgeber hat explizit geregelt, in welchen Fällen Sozialdaten für die Aufgabenerfüllung durch die gesetzlichen Krankenkassen regelmäßig erforderlich sind. Nur wenn ein derartiger Fall vorliegt, dürfen die Daten überhaupt erhoben und gespeichert werden (Art. 6 Absatz 3 Buchstabe b, Art. 9 Absatz 4 Datenschutz-Grundverordnung (DSGVO) i.V. mit § 284 Absatz 1 Fünftes Buch Sozialgesetzbuch – SGB V). Einige wichtige Zwecke, zu denen personenbezogene Daten erhoben und gespeichert werden dürfen, sind gemäß § 284 Abs. 1 SGBV unter anderem:
• die Feststellung des Versicherungsverhältnisses und der Mitgliedschaft,
• die Ausstellung der elektronischen Gesundheitskarte,
• die Feststellung der Beitragspflicht und der Beitragshöhe,
• die Prüfung der Leistungspflicht und der Erbringung der Leistungen,
• die Unterstützung der Versicherten bei Behandlungsfehlern,
• die Beteiligung des Medizinischen Dienstes,
• die Abrechnung mit den Leistungserbringern (z. B. Ärzte, Apotheker, Sanitätshäuser) und anderen Leistungsträgern (z. B. Rentenversicherung),
• die Durchführung von Erstattungs- und Ersatzansprüchen
• die Durchführung des Entlassmanagements nach § 39 Absatz 1a.
Eine Verarbeitung der rechtmäßig erhobenen und gespeicherten versichertenbezogenen Daten darf gemäß § 284 Abs. 3 S.1 SGB V allein für die Zwecke der Aufgaben nach Abs. 1 erfolgen. Dementsprechend dürfen rechtswidrig erhobene Daten überhaupt nicht verarbeitet oder genutzt werden. Die rechtswidrige Erhebung kann auch nicht durch eine anschließende Verarbeitung geheilt werden. Das Gesetz lässt eine Verwendung der rechtmäßig erhobenen und gespeicherten Daten aber auch für andere Zwecke zu. Eine Verarbeitung oder Nutzung bei geändertem Zweck ist jedoch nur dann statthaft, soweit dies durch eine Rechtsvorschrift im Sozialgesetzbuch – dies schließt die Bücher I-XII ein, insbesondere das Zweite Kapitel des SGB X – angeordnet oder erlaubt ist. Erlaubnisnormen in diesem Sinne finden sich etwa in §§ 67d ff., 88 ff. SGB X oder §§ 87a Abs. 6, 299 Abs. 1a.
Im Rahmen der Verarbeitung von Sozialdaten ist darüber hinaus auf folgende Grundsätze zu achten, die sich sowohl in der DSGVO als auch dem nationalen Sozialdatenschutz wiederfinden.
Zum einen ist der sog. „Erlaubnisvorbehalt“ zu beachten. Dies bedeutet, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, die Verarbeitung ist durch Rechtsvorschrift ausdrücklich erlaubt bzw. angeordnet, oder der Betroffene hat in die Verarbeitung ausdrücklich eingewilligt. Die Einwilligung ist indes ohne Bedeutung, wenn die Verarbeitung durch eine Rechtsvorschrift gestattet ist.
Des Weiteren gilt der Grundsatz der Verhältnismäßigkeit. Danach müssen Art und Umfang der Verarbeitung personenbezogener Daten im Hinblick auf die Zweckerfüllung geeignet, erforderlich und in der Situation angemessen sein.
Die Verarbeitung oder Nutzung darf nur für festgelegte, eindeutige und rechtmäßige Zwecke erfolgen. Insofern gilt der Grundsatz der Zweckbindung.
Im Rahmen der Gestaltung und Auswahl von Datenverarbeitungssystemen müssen die zu verarbeitenden Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. lit. c) DSGVO). Insbesondere ist eine Pseudonymisierung der Daten vorzunehmen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
IV. Verwendung von „Sozialdaten“ im Bereich der privaten Krankenversicherung
Wie bereits zuvor dargelegt, ist der Begriff der „Sozialdaten“ für den Bereich der privaten Krankenversicherung nicht einschlägig. Insoweit finden die Normen der Sozialgesetzbücher auch keine Anwendung. Stattdessen richtet sich die Verarbeitung von personenbezogenen Daten nach der DSGVO, dem BDSG und wird durch die Landesdatenschutzgesetze entsprechend ergänzt.
IV. Verwendung von Daten einer besonderen Kategorie
Für die Verwendung von Daten, die der sog. „besonderen Kategorie“ zugeordnet werden, ist eine besondere Erlaubnis vonnöten. Bei besonderen Kategorien personenbezogener Daten handelt es sich nach Art. 9 Abs. 1 DSGVO um solche personenbezogenen Daten, aus denen die rassische und ethische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen oder biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Entsprechend Art. 9 Abs. 1 DSGVO ist die Verarbeitung von besonderen Kategorien von Daten grundsätzlich verboten und kann nur erlaubt werden, soweit die Voraussetzungen des Art. 9 Abs. 2 DSGVO vorliegen. Dabei bestimmen Art. 9 Abs. 2 lit. B), h) und i) DSGVO, dass es sich bei der Verarbeitung von (Sozial-) Daten, die unter die besondere Kategorie iSd. der oben genannten Vorschrift fallen, zulässig ist, wenn die Verarbeitung u.a. für Zwecke der Versorgung, Behandlung und Verwaltung im Bereich der Gesundheit und der sozialen Sicherheit erforderlich ist. Zur Legitimation bedarf es zudem einer gesetzlichen Grundlage im Unionsrecht oder auf nationaler Ebene.
IV. Einwilligung
Wie bereits dargelegt, ist die Verarbeitung von Sozialdaten, unabhängig davon, ob eine gesetzliche Grundlage vorliegt oder nicht, zulässig, soweit der Betroffene eingewilligt hat. Für den Bereich des Krankenkassen- sowie des Pflegekassenrechts, ist allerdings zu beachten, dass eine Datenverarbeitung von besonderen Kategorien an Daten, insbesondere Gesundheitsdaten, aufgrund einer Einwilligung nur dann zulässig ist, wenn dies im Fünften oder Elften Sozialgesetzbuch ausdrücklich vorgesehen ist.
Eine Einwilligung, die eine Verarbeitung von Sozialdaten legitimieren soll, ist nur unter Beachtung hoher Anforderungen möglich. Entsprechend Art. 4 Nr. 11, Art. 7 DSGVO und (§ 67 Abs. 2 SGB X) sind folgenden Voraussetzungen zu beachten:
• Freiwilligkeit der Einwilligung
• Unmissverständlichkeit der Einwilligungserklärung
• Schriftlichkeit oder in elektronischer Form; Bei Mündlichkeit nur möglich, falls dies nachgewiesen werden kann.
• Aufklärung des Betroffenen über Tragweite, insbesondere Verarbeitungszweck.
• Bestimmtheit der Einwilligung; aus dieser muss Zweck und Art der Verarbeitung hervorgehen.
Besonders zu beachten ist insoweit, dass die Einwilligung auf der freien Entscheidung des Betroffenen beruht und die Verweigerung der Abgabe keinerlei Nachteile zur Folge haben darf.
Den Betroffenen stehen im Rahmen des (Sozial)Datenschutz zudem verschiedene Rechte zu, die gegenüber der verarbeitenden Stelle geltend gemacht werden können und von niemandem ausgeschlossen oder beschränkt werden können. Um das Recht auf informationelle Selbstbestimmung durchsetzen zu können, steht den Betroffenen unter anderem ein Informationsrecht (Art. 13, 14 DSGVO), ein Auskunftsrecht (Art.15 DSGVO), ein Recht auf Berichtigung (Art. 16 DSGVO) und Löschung (Art. 17 DSGVO) und ein Widerrufsrecht gemäß Art. 21 DSGVO zu.
V. Fazit
1. Gesetzliche Krankenversicherungen
Aus den vorherigen Ausführungen geht hervor, dass eine Verwendung bzw. Verarbeitung von Sozialdaten an hohe Hürden geknüpft ist. Nur wenn die Voraussetzungen erfüllt sind, können die Daten entsprechend genutzt werden. Es ist im vorliegenden Fall insbesondere zu prüfen, wie weit die Befugnisnormen zur Datenverarbeitung ausgelegt werden können und ob sogar eine Pflicht der Kassen besteht, die Daten zu nutzen, um die Bürger zu schützen.
Wägt man die sich gegenüberstehenden Positionen in dem vorliegenden Fall gegeneinander ab, kommt man jedoch zu dem Ergebnis, dass trotz der derzeitigen Situation diese hochsensiblen Daten nicht zu dem dargelegten Zweck genutzt werden dürfen. Vielmehr bedarf es einer expliziten Einwilligung der Betroffenen in eine derartige Verarbeitung, da eine gesetzliche Vorschrift, die die Verarbeitung von Sozialdaten für einen derartigen Zweck vorsieht, in den Normen der §§ 284ff. SGB V nicht ersichtlich ist.
Zwar könnte eine derartige Datenverarbeitung gemäß § 284 Abs. 1 Nr. 4 in Verbindung mit §§ 20ff. SGB V aufgrund von Präventionsleistungen der gesetzlichen Krankenkassen möglich sein. Zu beachten ist jedoch insoweit, dass es auch in diesem Fall aus Gründen des Datenschutzes gem. § 20 Abs. 5 Satz 3 SGB V für die Erhebung, Verarbeitung und Nutzung einer Präventionsempfehlung durch die Krankenkasse der vorherigen schriftlichen Information des Versicherten und auf der Grundlage dieser Information der schriftlichen Einwilligung des Versicherten bedarf (vgl. BT-Drs. 18/5261, S. 53, zu Abs. 5). Die Präventionsempfehlung kann persönliche Daten des Versicherten enthalten, die der Krankenkasse noch nicht vorliegen.
2. Private Krankenversicherungen
Wie bereits dargelegt, richtet sich die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach der DSGVO, dem BDSG und den entsprechenden Landesdatenschutzgesetzen. Gemäß Art. 6 Abs. 1 Satz 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn
• die betroffene Person ihre Einwilligung zu der Verarbeitung, der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat (Nr. 1),
• die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist (Nr. 2),
• die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist (Nr. 3),
• die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Nr. 4),
• die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist (Nr. 5),
• die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (Nr. 6).
Auch im Bereich der privaten Krankenversicherung bedarf es somit der Einwilligung des Betroffenen in eine derartige Datenverarbeitung. Insofern ist zu beachten, dass die Rechtmäßigkeit der Datenverarbeitung aufgrund der Erfüllung eines Vertrages (Nr. 2) oder aufgrund einer rechtlichen Verpflichtung des Verantwortlichen (Nr. 3) maßgeblich von dem Vertragsinhalt zwischen dem Betroffenen und der privaten Krankenkasse abhängt. Unter Umständen könnte sich die Rechtmäßigkeit der Datenverarbeitung aus den genannten Normen ergeben. Die Rechtmäßigkeit kann zudem nicht aus Nr. 4 abgeleitet werden. Zwar ist unter dem Begriff der „lebenswichtigen Interessen“ der Schutz des Lebens und der körperlichen Unversehrtheit zu fassen. Diesem Ziel würde die geplante Initiative der Krankenkassen zwar grundsätzlich dienen. Zu beachten ist jedoch, dass im Falle der Verarbeitung von Gesundheitsdaten oder anderer Daten im Sinne des Art. 9 Abs.1 DSGVO, was im Rahmen des angedachten Vorgehens durch die Krankenkassen wohl der Fall wäre, diese nur mit der Einwilligung des Betroffenen erfolgen kann. Insofern tritt Art. 9 Abs. 2 lit. c DSGVO in den Hintergrund.
3. Allgemeines
Zu dem Ergebnis, dass für ein derartiges Vorhaben der Krankenkasse eine Einwilligung der Betroffenen notwendig ist, gelangt man insbesondere vor dem Hintergrund des Verhältnismäßigkeitsgrundsatzes. Die Datenverarbeitung muss nach der Art und dem Umfang der Verarbeitung personenbezogener Daten im Hinblick auf die Zweckerfüllung geeignet, erforderlich und in der Situation angemessen sein. Dies ist hier ebenfalls äußerst fraglich. Die Bürger werden zuhauf über die sozialen Medien, das Internet, Radio und das Fernsehen in ausreichender Art und Weise mit Informationen zu der Covid-19-Pandemie versorgt. Davon umfasst sind insbesondere auch Informationen zu einer potenziell erhöhten Gefährdungslage für vorerkrankte Bürgerinnen und Bürger.
Die Bewältigung der Herausforderungen, die durch die Covid-19-Pandemie hervorgerufen werden, stellt für alle Beteiligten eine große Herausforderung dar. Zu beachten ist jedoch, dass alle Maßnahmen, die getroffen werden, stets den rechtlichen Grundsätzen entsprechen müssen und insbesondere die Rechte der Bürger wahren müssen. So verhält es sich auch in Bezug auf das vorliegende Vorhaben. Der Datenschutz ist Ausfluss des allgemeinen Persönlichkeitsrechts, das grundrechtlich verankert ist und dem ein hoher Stellenwert zukommt. Auch wenn das geplante Vorhaben einen positiven Zweck verfolgt, sind die Individualrechte stets zu achten und damit in Einklang zu bringen.
Die Einholung einer entsprechenden Einwilligung stellt für die Kassen zwar einen beträchtlichen organisatorischen Mehraufwand dar, ist jedoch zwingend notwendig, um den datenschutzrechtlichen Vorgaben gerecht zu werden. <<
Zitationshinweis
Ehlers, A., Rösner, P.: „Die Nutzung und Verarbeitung von Sozial-/Gesundheitsdaten durch die GKV zum Schutz einer Risikogruppe“, in: „Monitor Versorgungsforschung“ (03/20), S. 32-34; doi: 10.24945/MVF.03.20.1866-0533.2020